Kimwolfi botnet
Küberturvalisuse eksperdid on paljastanud ulatusliku hajutatud teenusetõkestamise (DDoS) botneti, mida tuntakse Kimwolfina ja mis on juba nakatunud üle 1,8 miljoni seadme. Nende hulka kuuluvad Android-põhised telerid, digiboksid ja tahvelarvutid. Esialgsed uuringud viitavad võimalikule seosele kurikuulsa AISURU botnetiga. Avastus rõhutab asjade internetile suunatud pahavara üha keerukamat toimimist ja rõhutab kriitilist vajadust valvsuse järele ühendatud seadmete kaitsmisel.
Sisukord
Kimwolfi anatoomia
Kimwolf on loodud Native Development Kiti (NDK) abil ja ühendab endas mitmeid võimalusi, mis ületavad traditsioonilisi DDoS-rünnakuid. Peamised omadused on järgmised:
- Puhverserveri edastamine
- Pöördkesta juurdepääs
- Failihalduse funktsioonid
Botivõrgu pahavara on loodud nii, et see käivitab seadme kohta ühe protsessi, dekrüpteerib manustatud käsklus-ja-juhtimise (C2) domeene, lahendab C2 IP-aadressi DNS-üle-TLS-i abil ja täidab operaatoritelt saadud käske.
Rekordiline ulatus ja aktiivsus
Vaid kolme päeva jooksul, 19.–22. novembrini 2025, väljastas Kimwolf väidetavalt 1,7 miljardit DDoS-rünnakukäsku. Üks nende C2-domeenidest, 14emeliaterracewestroxburyma02132[.]su, ilmus isegi korraks Cloudflare'i 100 parima domeeni hulka, edestades ajutiselt Google'it.
Peamised nakkuse sihtmärgid hõlmavad elamuteleviisori bokse, näiteks:
- TV BOX, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Geograafiliselt on nakkused koondunud Brasiiliasse, Indiasse, USA-sse, Argentinasse, Lõuna-Aafrikasse ja Filipiinidele, kuigi täpne levimismeetod on endiselt ebaselge.
Evolutsioon ja vastupidavus
Kimwolf demonstreerib täiustatud kohanemisvõimet. Selle C2-domeenid võeti 2025. aasta detsembris vähemalt kolm korda maha, mis ajendas operaatoreid infrastruktuuri tugevdamiseks kasutusele võtma Ethereumi nimeteenuse (ENS) domeene. Pahavara uusimad versioonid sisaldavad EtherHidingut – tehnikat, mis hangib tegeliku C2 IP-aadressi nutikate lepingute kaudu ja teisendab selle XOR-operatsioonide abil, muutes mahavõtmise palju raskemaks.
Ühendus AISURU ja jagatud infrastruktuuriga
Tõendid seovad Kimwolfi AISURU botnetiga, mis on tuntud rekordarvude purustanud DDoS-rünnakute poolest:
- Mõlemad botnetid eksisteerisid samadel nakatunud seadmetel samaaegselt septembrist novembrini 2025.
- APK-pakettide ja koodiallkirjastamissertifikaatide sarnasused („John Dinglebert Dinglenut VIII VanSack Smith“) viitavad ühisele arenduspäritolule.
- Allalaadimisserver (93.95.112[.]59) kinnitas nii Kimwolfi kui ka AISURU APK-dele viitavate skriptide olemasolu.
See seos vihjab ühele häkkerirühmale, mis potentsiaalselt haldab mõlemat botnetti, et maksimeerida ulatust ja vältida avastamist.
Rünnakuvõimalused ja raha teenimine
Kimwolf toetab UDP, TCP ja ICMP kaudu 13 erinevat DDoS-meetodit, mis on suunatud sellistele riikidele nagu USA, Hiina, Prantsusmaa, Saksamaa ja Kanada. Huvitaval kombel on üle 96% väljastatud käskudest suunatud nakatunud sõlmede kasutamisele puhverserveritena, mis viitab tugevale kasumi teenimise eesmärgile.
Ohustatud seadmetesse paigutatud täiendavad komponendid hõlmavad järgmist:
- Rustil põhinev Command Client – loob puhverserveri võrgu
- ByteConnect SDK – annab arendajatele ja seadmete omanikele võimaluse raha teenida asjade interneti liiklusest
- TLS-krüptimine turvab kogu side, samal ajal krüpteeritakse ka tundlikud andmed C2-serverite ja DNS-resolverite kohta, suurendades tegevuse varjatust.
Hiiglaslike botnettide laiem kontekst
Alates Mirai ilmumisest 2016. aastal on hiiglaslikud IoT botnetid märkimisväärselt arenenud. Varasemad versioonid olid suunatud peamiselt lairiba ruuteritele ja kaameratele, kuid tänapäevased botnetid nagu Badbox, Bigpanzi, Vo1d ja Kimwolf keskenduvad üha enam nutiteleritele ja teleriboksidele, mis peegeldab ründajate huvide nihkumist suure ribalaiusega tarbijaseadmete poole.
